Claims (64)
1. Способ регистрации пользователя в системе управления аутентификацией на основе сертификата открытого ключа, выполняемый портативным устройством пользователя, при этом способ содержит1. A method of registering a user in an authentication management system based on a public key certificate, performed by a portable user device, the method comprising
шифрование биометрических данных или комбинации фрагментов биометрических данных пользователя с помощью алгоритма шифрования, определенного в сертификате открытого ключа;encryption of biometric data or a combination of fragments of user biometric data using an encryption algorithm defined in a public key certificate;
хранение зашифрованных биометрических данных или зашифрованной комбинации фрагментов биометрических данных в портативном устройстве;storing encrypted biometric data or an encrypted combination of fragments of biometric data in a portable device;
маркирование зашифрованных биометрических данных или зашифрованной комбинации фрагментов биометрических данных для генерации биометрического кода;marking encrypted biometric data or an encrypted combination of biometric data fragments to generate a biometric code;
генерацию пары ключей, включая закрытый ключ и открытый ключ, путем вставки проверочного кода, содержащего по меньшей мере биометрический код, в поле расширения сертификата открытого ключа;generating a pair of keys, including the private key and the public key, by inserting a verification code containing at least a biometric code in the extension field of the public key certificate;
передачу открытого ключа на удаленный объект; иtransferring the public key to a remote object; and
запрос регистрации пользователя.user registration request.
2. Способ по п. 1, в котором проверочный код дополнительно содержит добавочный код, генерируемый путем шифрования уникальных идентификационных данных, закрепленных за портативным устройством, и маркирования зашифрованных уникальных идентификационных данных.2. A method according to claim 1, wherein the verification code further comprises an additional code generated by encrypting the unique identification data assigned to the portable device, and marking the encrypted unique identification data.
3. Способ по п. 1, в котором код проверки дополнительно содержит добавочный код, генерируемый путем шифрования характеристической информации, указывающей характеристики поведения пользователя, и маркирования зашифрованной характеристической информации.3. A method according to claim 1, wherein the verification code further comprises an additional code generated by encrypting the characteristic information indicating the characteristics of the behavior of the user and marking the encrypted characteristic information.
4. Способ по п. 1, в котором код проверки дополнительно содержит добавочный код, генерируемый путем шифрования информации о местоположении, указывающей на позицию, в которой запрашивается аутентификация пользователя, и маркирования зашифрованной информации о местоположении.4. A method according to claim 1, wherein the verification code further comprises an additional code generated by encrypting the location information indicating the position at which user authentication is requested, and marking the encrypted location information.
5. Способ по п. 1, в котором код проверки дополнительно содержит добавочный код, генерируемый путем шифрования уникальных идентификационных данных, закрепленных за пользователем, и маркирования зашифрованных уникальных идентификационных данных.5. A method according to claim 1, wherein the verification code further comprises an additional code generated by encrypting the unique identification data assigned to the user, and marking the encrypted unique identification data.
6. Способ по п. 1, в котором генерирование включает в себя генерирование пары ключей путем вставки биометрических кодов, полученных, соответственно, из различных биометрических данных или различных комбинаций фрагментов биометрических данных, в множество сертификатов открытого ключа, соответственно.6. A method according to claim 1, wherein the generation includes generating a pair of keys by inserting biometric codes obtained, respectively, from various biometric data or various combinations of fragments of biometric data into a set of public key certificates, respectively.
7. Способ по п. 6, в котором множество сертификатов открытого ключа имеет отличающиеся друг от друга применения.7. A method according to claim 6, in which the set of certificates of the public key has a different application from each other.
8. Способ по п. 1, в котором генерирование содержит8. The method according to p. 1, in which the generation contains
генерирование добавочного биометрического кода из биометрических данных или комбинации фрагментов биометрических данных, отличающихся от биометрических данных или комбинации фрагментов биометрических данных, используемых для генерирования биометрического кода; иgenerating an additional biometric code from biometric data or a combination of biometric data fragments that differ from biometric data or a combination of biometric data fragments used to generate a biometric code; and
генерирование пары ключей путем дополнительной вставки дополнительного проверочного кода, содержащего по меньшей мере добавочный проверочный код в поле расширения сертификата открытого ключа.generating a key pair by additionally inserting an additional verification code containing at least an additional verification code in the extension field of the public key certificate.
9. Способ по п. 8, в котором определяется добавочный проверочный код для уведомления о том, что закрытый ключ был использован вследствие принуждения третьей стороной.9. The method of claim 8, wherein the additional verification code is determined to notify that the private key was used due to coercion by a third party.
10. Способ по п. 8, в котором определяется добавочный код проверки для запроса отмены регистрации пользователя, выполняемой на удаленном объекте на основе открытого ключа, передаваемого при передаче.10. A method according to claim 8, in which the additional verification code is determined to request the cancellation of the user registration, performed on the remote object based on the public key transmitted during transmission.
11. Способ по п. 8, в котором определяется добавочный проверочный код для запроса инициализации системы управления аутентификацией, управляемой удаленным объектом.11. The method of claim 8, wherein the additional verification code is determined to request the initialization of an authentication management system managed by a remote entity.
12. Способ по п. 1, в котором поле расширения сертификата открытого ключа дополнительно содержит по меньшей мере одно из: электронной карты резидента, водительских прав, электронных денег или медицинской карты, в качестве добавочной информации, соответствующей указанной цели использования сертификата открытого ключа.12. A method according to claim 1, wherein the extension field of the public key certificate further comprises at least one of: a resident's electronic card, driver's license, electronic money or medical card, as additional information corresponding to the specified purpose of using the public key certificate.
13. Способ по п. 1, в котором поле расширения сертификата открытого ключа дополнительно содержит информацию об URL (унифицированном указателе ресурсов) удаленного объекта, которому должен быть передан открытый ключ.13. A method according to claim 1, wherein the extension field of the public key certificate further comprises information about the URL (uniform resource locator) of the remote object to which the public key is to be transmitted.
14. Способ по п. 1, дополнительно содержащий14. The method according to claim 1, further comprising
шифрование идентификационных данных устройства, закрепленных за IoT (Интернет вещей) устройством; иencryption of device identification data assigned to the IoT (Internet of Things) device; and
маркирование зашифрованных идентификационных данных устройства для генерации добавочного кода; причемmarking the encrypted identification data of the device to generate an additional code; where
добавочный код дополнительно вставляется в поле расширения сертификата открытого ключа.the additional code is additionally inserted into the extension field of the public key certificate.
15. Способ по п. 14, дополнительно содержащий генерирование пар ключей, включая закрытый ключ и открытый ключ, связанных, соответственно, с множеством IoT устройств, причем пары ключей отличаются друг от друга введением, соответственно, биометрических кодов, полученных из различных фрагментов биометрических данных или комбинаций различных фрагментов биометрических данных, и добавочных кодов, полученных из фрагментов идентификационных данных устройства различных IoT устройств, в множество сертификатов открытого ключа.15. The method of claim 14, further comprising generating key pairs, including a private key and a public key, associated respectively with a plurality of IoT devices, wherein the key pairs differ from each other by introducing, respectively, biometric codes obtained from different pieces of biometric data or combinations of different fragments of biometric data, and additional codes derived from fragments of device identification data of various IoT devices, into a set of public key certificates.
16. Способ по п. 8, в котором передача включает в себя передачу открытого ключа на удаленный объект через виртуальную частную сеть.16. The method of claim 8, wherein the transfer includes transmitting a public key to a remote object through a virtual private network.
17. Способ по п. 1, в котором портативное устройство включает в себя смарт-карту или мобильный коммуникационный терминал.17. A method according to claim 1, wherein the portable device includes a smart card or mobile communication terminal.
18. Способ аутентификации пользователя в системе управления аутентификацией на основе сертификата открытого ключа, выполняемый с помощью портативного устройства пользователя, при этом портативное устройство хранит закрытый ключ, в который вставлен проверочный код, включающий в себя биометрический код, и зашифрованные биометрические данные или зашифрованную комбинацию фрагментов биометрических данных, из которых получен биометрический код, при этом способ содержит18. A user authentication method in an authentication management system based on a public key certificate, performed using a user's portable device, wherein the portable device stores a private key into which a verification code, including a biometric code, and an encrypted biometric data or an encrypted fragment is inserted biometric data from which the biometric code is obtained, and the method contains
сбор биометрических данных или комбинации фрагментов биометрических данных пользователя;collecting biometric data or a combination of user biometric data fragments;
сравнение биометрических данных или комбинации фрагментов биометрических данных пользователя по меньшей мере с одним из: набора зашифрованных биометрических данных, или зашифрованной комбинации фрагментов биометрических данных, хранящихся в портативном устройстве, или биометрического кода;comparing biometric data or a combination of user biometric data fragments with at least one of: a set of encrypted biometric data, or an encrypted combination of biometric data fragments stored in a portable device, or a biometric code;
передачу удаленному объекту информации об аутентификации, включающей в себя код подтверждения, вставленный в закрытый ключ, когда биометрические данные или комбинация фрагментов биометрических данных пользователя совпадают по меньшей мере с одним из: зашифрованных биометрических данных или зашифрованной комбинацией фрагментов биометрических данных; иtransmitting the authentication information to the remote object, which includes a confirmation code inserted into the private key when the biometric data or a combination of user biometric data fragments coincide with at least one of: encrypted biometric data or an encrypted combination of biometric data fragments; and
запрос аутентификации пользователя.user authentication request.
19. Способ по п. 18, в котором проверочный код, вставленный в закрытый ключ, дополнительно содержит по меньшей мере одно из: первого добавочного кода, полученного из уникальных идентификационных данных, закрепленных за портативным устройством, второго добавочного кода, полученного из информации о местоположении, указывающей позицию, где запрашивается аутентификация пользователя, третьего добавочного кода, полученного из уникальных идентификационных данных, закрепленных за пользователем, четвертого добавочного кода, полученного из характеристической информации, показывающей характеристики поведения пользователя, или пятого добавочного кода, полученного из идентификационных данных устройства, закрепленных за IoT (интернет вещей) устройством.19. A method according to claim 18, in which the verification code inserted into the private key further comprises at least one of: a first additional code obtained from a unique identification data assigned to the portable device, a second additional code obtained from the location information indicating the position where user authentication is requested, the third extension code obtained from the unique identification data assigned to the user, the fourth extension code obtained from the character eristicheskoy information showing the characteristics of user behavior, or fifth sub-code derived from the data identification unit assigned to the IoT (Internet of Things) device.
20. Способ по п. 18, в котором информация об аутентификации дополнительно содержит OTP (одноразовый пароль), генерируемый модулем генерации OTP, встроенным в портативное устройство.20. The method of claim 18, wherein the authentication information further comprises an OTP (one-time password) generated by the OTP generation module embedded in the portable device.
21. Способ по п. 18, в котором информация об аутентификации дополнительно содержит информацию о времени передачи информации об аутентификации.21. A method according to claim 18, in which the authentication information further comprises information about the transmission time of the authentication information.
22. Способ по п. 18, в котором информация об аутентификации дополнительно содержит информацию о местоположении позиции, где запрашивается аутентификация пользователя.22. The method of claim 18, wherein the authentication information further comprises location information of the position where user authentication is requested.
23. Способ по п. 18, в котором информация об аутентификации дополнительно содержит информацию о времени генерирования закрытого ключа.23. A method according to claim 18, in which the authentication information further comprises information on the time of generation of the private key.
24. Способ по п. 18, в котором передача включает в себя передачу открытого ключа на удаленный объект через виртуальную частную сеть.24. A method according to claim 18, in which the transfer includes the transfer of the public key to a remote object through a virtual private network.
25. Способ по п. 18, в котором URL (унифицированный указатель ресурса) назначения в виртуальной частной сети содержится в поле расширения закрытого ключа.25. The method of claim 18, wherein the URL (uniform resource locator) of the destination in the virtual private network is contained in the private key expansion field.
26. Способ по п. 18, в котором портативное устройство включает в себя смарт-карту или мобильный коммуникационный терминал.26. A method according to claim 18, in which the portable device includes a smart card or mobile communication terminal.
27. Способ управления аутентификацией пользователя в системе управления аутентификацией на основе сертификата открытого ключа, выполняемый удаленным объектом, подключенным к портативному устройству пользователя через сеть, при этом способ содержит27. A method of managing user authentication in an authentication control system based on a public key certificate, performed by a remote entity connected to a portable user device via a network, the method comprising
получение от портативного устройства открытого ключа, соответствующего закрытому ключу, в который вставлен проверочный код, включающий в себя биометрический код, полученный из биометрических данных или комбинации фрагментов биометрических данных пользователя;obtaining from the portable device a public key corresponding to the private key in which the verification code is inserted, including a biometric code obtained from biometric data or a combination of fragments of user biometric data;
выполнение регистрации пользователя на основе открытого ключа;performing user registration based on the public key;
получение от портативного устройства информации об аутентификации, включающей в себя проверочный код, вставленный в закрытый ключ;receiving from the portable device authentication information including a verification code inserted into the private key;
проверку информации аутентификации на основе открытого ключа; иverification of authentication information based on the public key; and
выполнение аутентификации пользователя по результатам проверки.user authentication based on verification results.
28. Способ управления аутентификацией пользователя в системе управления аутентификацией на основе сертификата открытого ключа, выполняемый открытым терминалом, выполненным с возможностью предоставления заданного обслуживания, и сервером, предоставляющим обслуживание, выполненным с возможностью управления открытым терминалом, при этом способ содержит28. A method of managing user authentication in an authentication control system based on a public key certificate, performed by an open terminal, configured to provide a specified service, and a server providing a service, configured to manage an open terminal, wherein the method comprises
получение, в том числе сервером, предоставляющим обслуживание, от портативного устройства пользователя открытого ключа, соответствующего закрытому ключу, в который вставлен проверочный код, включающий в себя биометрический код, полученный из биометрических данных или комбинации фрагментов биометрических данных пользователя;obtaining, including the server providing the service, from the user's portable device a public key corresponding to the private key in which a verification code is inserted, including a biometric code obtained from biometric data or a combination of user biometric data fragments;
выполнение, в том числе сервером, предоставляющим обслуживание, регистрации пользователя на основе открытого ключа;performing, including the server providing the service, user registration based on the public key;
получение, в том числе открытым терминалом, от портативного устройства, информации аутентификации, включая проверочный код, вставленный в закрытый ключ;receiving, including the open terminal, from the portable device, authentication information, including the verification code inserted into the private key;
запрос, в том числе с открытого терминала, сервера, предоставляющего обслуживание, о выполнении проверки информации об аутентификации на основе открытого ключа;a request, including from a public terminal, the server providing the service, to perform verification of authentication information based on the public key;
выполнение, в том числе открытым терминалом, аутентификации пользователя на основе результатов проверки; иperforming, including an open terminal, user authentication based on the test results; and
предоставление, в том числе открытым терминалом, предусмотренного обслуживания при успешной аутентификации пользователя.the provision, including by the open terminal, of the provided service with successful user authentication.
29. Способ по п. 28, в котором выполнение регистрации пользователя включает в себя29. The method of claim 28, wherein performing user registration includes
генерирование, в том числе сервером, предоставляющим обслуживание, модифицированного открытого ключа, включающего в себя проверочный код из открытого ключа, причем модифицированный открытый ключ сконфигурирован для использования, когда открытый терминал и сервер, предоставляющий обслуживание, находятся в офлайн режиме; иgenerating, including the server providing the service, a modified public key including a verification code from the public key, wherein the modified public key is configured to be used when the public terminal and the server providing the service are offline; and
передачу, в том числе сервером, предоставляющим обслуживание, модифицированного открытого ключа к портативному устройству.transmission, including the server providing the service, of the modified public key to the portable device.
30. Способ по п. 29, дополнительно содержащий30. The method according to p. 29, further comprising
получение, в том числе открытым терминалом, от портативного устройства, когда открытый терминал и сервер, предоставляющий обслуживание, находятся в офлайн режиме, проверочного кода, вставленного в закрытый ключ, и проверочного кода, вставленного в модифицированный открытый ключ;receiving, including by the open terminal, from the portable device, when the open terminal and the server providing the service are in offline mode, the verification code inserted into the private key and the verification code inserted into the modified public key;
проверку, в том числе открытым терминалом, генерируются ли проверочные коды на основе одного и того же сертификата открытого ключа или нет;verification, including by the open terminal, whether verification codes are generated based on the same public key certificate or not;
предоставление, в том числе открытым терминалом, когда проверка прошла успешно, ограниченного обслуживания с более узким диапазоном услуг, чем это предусмотрено, когда открытый терминал и сервер, предоставляющий обслуживание, находятся в онлайн режиме; иthe provision, including by the open terminal, when the check was successful, of limited services with a narrower range of services than is provided when the open terminal and the server providing the service are in online mode; and
передачу, в том числе открытым терминалом, на сервер, предоставляющий обслуживание, при изменении офлайн режима на онлайн режим, проверочных кодов и информации о предоставлении обслуживания;transfer, including by the open terminal, to the server providing the service, when the offline mode changes to online mode, verification codes and information on the provision of the service;
выполнение, в том числе сервером, предоставляющим обслуживание, проверки проверочных кодов;execution, including the server providing the service, verification of verification codes;
настройку, в том числе сервером, предоставляющим обслуживание, дозирования информации о предоставлении обслуживания по результатам проверки.setting, including the server providing the service, dispensing information about the provision of services on the results of the test.